導航
安全產(chǎn)品
安全服務(wù)與運營(yíng)
解決方案
企業(yè)動(dòng)態(tài)
安全研究
關(guān)于國舜
◆ 網(wǎng)絡(luò )安全防護
▼
◆ 網(wǎng)絡(luò )安全檢測
▼
▼
◆ 開(kāi)發(fā)安全
▼
◆ 數據安全
▼
◆ 業(yè)務(wù)安全
▼
◆ 物聯(lián)網(wǎng)安全
▼
◆ 工控安全
▼
◆ 移動(dòng)安全
▼
◆ 安全管理
? 攻防演練服務(wù)
攻防演練服務(wù)
▼
◆ 安全技術(shù)服務(wù)
▼
◆ 安全培訓服務(wù)
▼
◆ 安全咨詢(xún)服務(wù)
▼
◆ 攻防演練服務(wù)
▼
◆ 安全運營(yíng)服務(wù)
▼
◆ 專(zhuān)項安全評估
▼
◆ 行業(yè)解決方案
▼
◆ 技術(shù)解決方案
400-696-8096
基于豐富的安全服務(wù)經(jīng)驗,結合自有安全產(chǎn)品,國舜可以為客戶(hù)提供一攬子實(shí)戰攻防演練解決方案。不同行業(yè)、不同客戶(hù)其網(wǎng)絡(luò )安全和信息化建設的具體情況各有不同,國舜能夠針對性提供輕量級、增強級和重量級三種不同復雜度的解決方案,供客戶(hù)靈活選擇。
立即咨詢(xún)
演練挑戰
實(shí)戰攻防演練自2016年首次組織實(shí)施以來(lái),涉及的單位逐年增加,攻守雙方的戰術(shù)不斷升級,紅隊攻擊難度和藍隊防守難度都在持續加大。
1、攻方手段更加高級
道高一尺魔高一丈,在網(wǎng)絡(luò )安全建設不斷完善的前提下,紅隊的攻擊方式也在持續升級。這種情況下,僅靠FW+IPS+AV等傳統的網(wǎng)絡(luò )安全設備就很難發(fā)現攻擊,必須要有更高級的檢測和防御設備才能有效對抗。
2、得分規則愈發(fā)嚴格
扣分容易得分難,藍隊必須滿(mǎn)足及時(shí)發(fā)現、及時(shí)處置以及還原攻擊鏈才能少扣一點(diǎn)分,加分方式只有在實(shí)戰攻防演練期間發(fā)現真實(shí)的黑客攻擊。
3、處置時(shí)效要求更高
藍隊在發(fā)現被攻擊后要及時(shí)處置才有可能不被扣分,非正常防守措施被發(fā)現后也會(huì )被扣分。因此,防守方發(fā)現威脅要準,處置威脅要快。
解決方案
基于豐富的安全服務(wù)經(jīng)驗,結合自有安全產(chǎn)品,國舜可以為客戶(hù)提供一攬子實(shí)戰攻防演練解決方案。不同行業(yè)、不同客戶(hù)其網(wǎng)絡(luò )安全和信息化建設的具體情況各有不同,國舜能夠針對性提供輕量級、增強級不同復雜度的實(shí)戰攻防演練解決方案,供客戶(hù)靈活選擇: 1)輕量級實(shí)戰攻防演練方案:以APT產(chǎn)品為主,實(shí)時(shí)監控internet出入口流量及核心交換機鏡像流量,利用APT設備的多種威脅檢測能力和可視化工作界面,及時(shí)檢測紅隊攻擊,精準溯源取證。 2)增強級實(shí)戰攻防演練方案:APT產(chǎn)品之外,增加安全運營(yíng)平臺,除了能夠實(shí)時(shí)監控網(wǎng)絡(luò )流量,還可以利用安全運營(yíng)平臺的對接APT產(chǎn)品的安全告警,實(shí)現告警事件的自動(dòng)化取證、自動(dòng)化分析研判、自動(dòng)化應急方案制定、自動(dòng)化溯源分析、自動(dòng)化聯(lián)動(dòng)處置的安全運營(yíng)能力,大幅提升實(shí)戰攻防演練的應急響應效率。
輕量級實(shí)戰攻防演練方案
輕量級實(shí)戰攻防演練方案只需要一臺(或多臺,視客戶(hù)需求與網(wǎng)絡(luò )結構而定)APT設備,部署方式相對簡(jiǎn)單,如圖所示。通過(guò)分光、鏡像或經(jīng)由TAP設備將Internet出入口的流量及內網(wǎng)重點(diǎn)關(guān)注流量接入設備,如果客戶(hù)網(wǎng)絡(luò )采用的是雙路接入或主備鏈路等復雜組網(wǎng)方式,還應按需接入多條鏈路。 實(shí)戰攻防演練前期,需要在A(yíng)PT設備上提前做好相關(guān)的準備工作,比如設備版本和特征庫更新、資產(chǎn)網(wǎng)段和資產(chǎn)組配置、檢測策略和檢測規則優(yōu)化、第三方平臺對接、內網(wǎng)設備 ip 添加白名單等。
APT產(chǎn)品提供了“護網(wǎng)工作臺”界面,基于該頁(yè)面可以完成大部分實(shí)戰攻防演練相關(guān)工作,安服人員或運營(yíng)人員在值守期間可以通過(guò)該界面實(shí)時(shí)關(guān)注系統上報的各類(lèi)攻擊事件,并展開(kāi)詳細分析。 實(shí)戰攻防演練工作臺界面提供了三個(gè)功能操作區,自上而下分別為:搜索條件、統計信息(可折疊)以及三種視角(事件列表、攻擊者模式、受害者模式)下的列表信息,如圖所示。
搜索條件中提供了十幾種預置檢測場(chǎng)景,如隱蔽隧道、挖礦木馬、勒索軟件、暗網(wǎng)通信、惡意加密流量、釣魚(yú)郵件、暴力破解、掃描探測等,用戶(hù)還可以自定義多種條件組合搜索,每種都可以保存為一個(gè)新的檢測場(chǎng)景。 搜索出來(lái)的結果展示在列表區,可在統計信息區查看所有命中結果的分類(lèi)統計(默認為折疊狀態(tài),點(diǎn)擊可展開(kāi))。列表區每一個(gè)事件都可以雙擊展示事件詳情,方便進(jìn)一步研判和分析: 實(shí)戰攻防演練工作臺界面提供了三個(gè)功能操作區,自上而下分別為:搜索條件、統計信息(可折疊)以及三種視角(事件列表、攻擊者模式、受害者模式)下的列表信息,如圖所示。
界面提供了樣本下載和pcap下載功能,可以進(jìn)一步深入研判分析,對于惡意文件樣本,還可以查看其詳細檢測報告:搜索出來(lái)的結果展示在列表區,可在統計信息區查看所有命中結果的分類(lèi)統計(默認為折疊狀態(tài),點(diǎn)擊可展開(kāi))。列表區每一個(gè)事件都可以雙擊展示事件詳情,方便進(jìn)一步研判和分析: 實(shí)戰攻防演練工作臺界面提供了三個(gè)功能操作區,自上而下分別為:搜索條件、統計信息(可折疊)以及三種視角(事件列表、攻擊者模式、受害者模式)下的列表信息,如圖所示。
增強級實(shí)戰攻防演練方案
增強級護網(wǎng)方案在輕量級護網(wǎng)方案的基礎上,新增加了網(wǎng)絡(luò )安全運營(yíng)平臺,除了能夠監控網(wǎng)絡(luò )流量之外,還可以覆蓋用戶(hù)網(wǎng)絡(luò )中其他多種網(wǎng)絡(luò )安全設備的日志和告警信息,并通過(guò)網(wǎng)絡(luò )安全運營(yíng)平臺提供的數據預處理、威脅場(chǎng)景關(guān)聯(lián)分析、SOAR自動(dòng)化編排技術(shù)實(shí)現威脅告警的的自動(dòng)化取證、自動(dòng)化分析研判、自動(dòng)化應急方案制定、自動(dòng)化溯源分析、自動(dòng)化聯(lián)動(dòng)處置等工作,并提供一鍵封堵、郵件、工單等方式的高效應急處置,為客戶(hù)的護網(wǎng)工作提供更加完善的保障和響應。 增強級實(shí)戰攻防演練方案部署方案如圖所示。
增強級實(shí)戰攻防演練方案中APT設備的部署與輕量級護網(wǎng)方案保持一致,網(wǎng)絡(luò )安全運營(yíng)平臺需要將APT設備產(chǎn)生的安全告警事件接入。在客戶(hù)許可的情況下,還應盡量接入現網(wǎng)更多網(wǎng)絡(luò )安全設備或業(yè)務(wù)系統的告警日志。同時(shí),還應配置打通客戶(hù)網(wǎng)絡(luò )環(huán)境中的堡壘機或自動(dòng)化運維系統,以實(shí)現自動(dòng)化取證的目標。 實(shí)戰攻防演練前期,應對客戶(hù)當前的網(wǎng)絡(luò )安全防御體系建設進(jìn)行調研,了解目前客戶(hù)部署的安全設備情況,安全事件處置流程等,制定對應的實(shí)戰攻防演練應急處置方案,完成對APT設備的檢查和配置等相關(guān)準備工作,初始化安全運營(yíng)平臺的基礎配置,結合威脅場(chǎng)景調整、優(yōu)化、定制對應的數據分析策略、應急處置劇本。同時(shí),針對實(shí)戰攻防演練應急預案進(jìn)行提前演練,持續優(yōu)化。 實(shí)戰攻防演練期間,安服人員可重點(diǎn)關(guān)注安全運營(yíng)平臺提供的運營(yíng)分析->安全告警頁(yè)面,如圖所示:
每個(gè)安全告警都可以通過(guò)右側的操作按鈕來(lái)查看其告警詳情,詳情界面單獨呈現,包括研判結果信息、告警內容信息、安全運營(yíng)標準、告警處理方案、研判線(xiàn)索信息和告警溯源信息等。
在研判線(xiàn)索中,可以查看和檢索通過(guò)SOAR劇本獲取的系統信息、進(jìn)程信息、網(wǎng)絡(luò )信息等各種詳細信息:
重量級實(shí)戰攻防演練方案在運行實(shí)施過(guò)程中,以運營(yíng)平臺為主,同時(shí)兼顧APT設備。運營(yíng)平臺能夠提供詳細的主機設備或業(yè)務(wù)系統相關(guān)的溯源取證信息,而攻擊pcap報文和惡意文件樣本等數據則需要去APT設備上獲取和查看。
方案特色
輕量級護網(wǎng)方案
1)部署方便,對現網(wǎng)業(yè)務(wù)系統和配置策略影響很少。 2)具備較強的攻擊檢測能力,能查看攻擊報文、載荷信息和惡意文件樣本。 3)提供專(zhuān)門(mén)的實(shí)戰攻防演練工作臺,能夠有效提升實(shí)戰攻防演練過(guò)程中的威脅分析和溯源取證效率。
增強級護網(wǎng)方案
1)同時(shí)監控現網(wǎng)流量和各類(lèi)主機或業(yè)務(wù)系統上報的告警日志,覆蓋面更廣。 2)安全運營(yíng)平臺具備SOAR能力,能夠自動(dòng)化完成安全告警事件的取證、研判、應急方案制定、溯源分析、聯(lián)動(dòng)處置等功能,MTTD從小時(shí)/天級別提升為秒/分鐘級別,MTTR從小時(shí)級別提升到秒級。 3)可以有效聯(lián)動(dòng)多種安全處置設備,及時(shí)封堵惡意IP或域名。
客戶(hù)價(jià)值
1、持續監控攻擊,時(shí)刻把握安全態(tài)勢 持續監控關(guān)鍵節點(diǎn)的網(wǎng)絡(luò )流量,基于設備提供的實(shí)戰攻防演練工作臺,可以實(shí)時(shí)發(fā)現紅隊攻擊,幫助藍隊安服人員或客戶(hù)安全運營(yíng)人員時(shí)刻把握網(wǎng)絡(luò )安全態(tài)勢。 2、多元檢測高級威脅,助力修補安全隱患 利用沙箱技術(shù)和人工智能技術(shù)等全面檢測各種高級威脅,可以及時(shí)發(fā)現藍隊網(wǎng)絡(luò )中各類(lèi)信息系統存在的網(wǎng)絡(luò )安全隱患,及時(shí)提醒客戶(hù)用戶(hù)修補安全漏洞或加固業(yè)務(wù)系統,減少內網(wǎng)安全隱患。 3、深入洞察安全事件,高效追溯攻擊來(lái)源 APT設備和安全運營(yíng)系統都提供了各類(lèi)可視化分析面板,能夠協(xié)助安服人員或運營(yíng)人員深入分析各種紅隊攻擊事件,形成詳盡的分析報告。同時(shí),利用系統留存的元數據和調查取證線(xiàn)索等價(jià)值信息,高效追溯攻擊來(lái)源,形成對紅隊的快速反制。
北京國舜科技股份有限公司
Beijing UnisGuard Technology Co.,Ltd
北京市海淀區高梁橋斜街42號融匯國際大廈東區三層
聯(lián)系我們
熱線(xiàn):400-696-8096
電話(huà):010-82838085
郵編:100044
郵箱:contact@unisguard.com
關(guān)注我們
Copyright ?
unisguard.com All Rights Reserved.
北京國舜科技股份有限公司
版權所有
京ICP備09050222號
京公網(wǎng)安備110108000272號